1--资料加密与压缩.pptVIP

第 16 章 資料加密與壓縮 本章重點 16 - 1 資料加密 16 - 2 允許他人解密 16 - 3 資料加密修復代理 16 - 4 資料壓縮 資料加密與壓縮 Windows Server 2008 對於 NTFS 的資料夾與檔案, 提供了加密和壓縮功能, 前者能保護機密資料；後者則可節省硬碟的儲存空間, 都是相當實用的功能。 本章將介紹它們的使用時機、工作原理和注意事項。 16 - 1 資料加密 Windows Server 2008 對資料夾與檔案的加密功能稱為 EFS（Encrypting File System, 加密檔案系統）。 啟用此功能後, EFS 在存檔時會先將資料加密後再寫入；而讀取加密過的檔案時, 也會自動先解密。 換言之, 加密與解密動作都是由系統在幕後自動執行, 使用者在操作上毋須做任何改變。 EFS 的使用時機 一般而言, 加密大多是應用在透過公開媒體傳遞訊息的情況, 例如：透過網際網路傳遞重要的信件、進行電子商務交易等等。 既然如此, 為何需要對儲存在硬碟的資料夾與檔案加密呢？ 只要設定適當的存取權限, 限制未獲授權的使用者不得存取檔案, 不就可以保障個人資料的隱私嗎？ EFS 的使用時機 透過存取權限來保護資料夾與檔案, 雖然在大多數的情況下都很安全, 但仍有其無法避免的漏洞。 舉例而言, 若有人偷走整部主機或整部硬碟, 然後將硬碟安裝到其它的 Windows Server 2008 系統, 此時原先所設定的存取權限保護就會失去作用, 對方就能存取該硬碟裡的資料。 然而若事先將檔案加密, 那麼他便無法看到真正的內容。 EFS 的使用時機 雖然在理論上, 對方仍可用破解的方式將加密的資料還原, 但實際上此種作法需擁有運算能力強大的電腦, 再加上足夠長的運算時間, 這樣高的門檻已經不是一般駭客族所能跨越。 所以 EFS 已經可以為多數人的資料提供足夠的保護能力。 對稱式加密與非對稱式加密 所謂的加密 (Encrypt), 是將『有意義』的內容經過特定的處理後變成『沒有意義』的內容。 加密前的內容稱為明文文字 (Plain text), 加密後的內容則稱為加密文字 (Cipher 或 Cipher text)。 加密過程需要一組字串參與運算, 這組字串稱為秘鑰 (Secret Key)。 秘鑰的長度愈長、加密時愈花費時間, 但是也愈不容易被破解。 對稱式加密與非對稱式加密 加密的方式可區分為對稱式 (Symmetric) 與非對稱式 (Asymmetric) 兩種。 對稱式加密法又稱『秘鑰加密法』(Secret-key Cryptography), 是在加密和解密時, 使用同一把秘鑰參與運算, 如下圖。 對稱式加密與非對稱式加密 非對稱式加密又稱為『公開金鑰加密法』(Public-key Cryptography), 在加密和解密時使用不同的一把秘鑰。 對稱式加密與非對稱式加密 通常會公開其中一把秘鑰, 因此將該秘鑰稱為公開金鑰 (Public key), 另一把則妥善保管, 稱為私密金鑰 (Private key)。 凡是以私密金鑰加密者, 必須以公開金鑰解密。 反之, 以公開金鑰加密者, 必須以私密金鑰解密, 這便是非對稱式加密法的最大特點, 如下圖。 對稱式加密 非對稱式加密 EFS 的工作原理 使用者首次啟用加密功能時, EFS 會自動為其產生一把公開金鑰和一把私密金鑰, 並執行以下的工作 (以檔案加密為例)： 1. 對於每一個要加密的檔案, 隨機產生一把用來加密的金鑰, 該金鑰稱為 FEK (File Encryption Key)。 2. 使用 FEK 以對稱式加密法將檔案內容加密。 3. 以加密者的公開金鑰, 將這把 FEK 以非對稱式加密法加密。 EFS 的工作原理 4. 將加密後的 FEK 與加密後的檔案一同存放。 簡而言之, EFS 先用 FEK 保護檔案, 再用加密者的公開金鑰保護 FEK, 同時用到了對稱式加密法和非對稱式加密法, 不但享有前者處理速度快的優點, 同時也擁有後者安全性較佳的長處。 EFS 的工作原理 當加密者讀取檔案時, EFS 則會執行以下動作： 1. 以加密者的私密金鑰解開加密的 FEK。 2. 以 FEK 將檔案解密。 若非加密者嘗試讀取檔案, 會因為私密金鑰不同而無法解開加密的 FEK, 沒有 FEK 自然就不能將檔案解密了。 EFS 的工作原理 使用 EFS 時的注意事項 使用加密功能時要注意以下 3 點： 1. 不能對於具有『系統』屬性的檔案加密, 也不能對 %systemroot%（預設是 C:\Windows）資料夾加密。 2. 對於同一檔案或資料夾, 不能既加密又壓縮, 只能擇一使用。 3. 不能對整部磁碟機加密